通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

重大经济损失

数据泄露

恶意竞争

DDoS攻击分类 攻击子类 描述 畸形报文 畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。 畸形报文攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。 传输层DDoS攻击 传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 以Syn Flood攻击为例，它利用了TCP协议的三次握手机制，当服务端接收到一个Syn请求时，服务端必须使用一个监听队列将该连接保存一定时间。因此，通过向服务端不停发送Syn请求，但不响应Syn+Ack报文，从而消耗服务端的资源。当监听队列被占满时，服务端将无法响应正常用户的请求，达到拒绝服务攻击的目的。 DNS DDoS攻击 DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。 以DNS Query Flood攻击为例，其本质上执行的是真实的Query请求，属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求，服务端无法响应正常的Query请求，从而导致拒绝服务。 连接型DDoS攻击 连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。 以Slowloris攻击为例，其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后，Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时，建立新的连接来处理请求，并在处理完成后关闭这个连接。如果该连接一直处于连接状态，收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时，Web将无法处理任何新的请求。 Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束，如果Web服务端只收到\r\n，则认为HTTP Headers部分没有结束，将保留该连接并等待后续的请求内容。 Web应用层DDoS攻击 Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。 通常应用层攻击完全模拟用户请求，类似于各种搜索引擎和爬虫一样，这些攻击行为和正常的业务并没有严格的边界，难以辨别。 Web服务中一些资源消耗较大的事务和页面。例如，Web应用中的分页和分表，如果控制页面的参数过大，频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下，类似这样的事务就成了早期CC攻击的目标。 由于现在的攻击大都是混合型的，因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如，各种刷票软件对网站的访问，从某种程度上来说就是CC攻击。 CC攻击瞄准的是Web应用的后端业务，除了导致拒绝服务外，还会直接影响Web应用的功能和性能，包括Web响应时间、数据库服务、磁盘读写等。

出现以下情况时，您的业务可能已遭受DDoS攻击：

网络和设备正常的情况下，服务器突然出现连接断开、访问卡顿、用户掉线等情况。

服务器CPU或内存占用率出现明显增长。

网络出方向或入方向流量出现明显增长。

您的业务网站或应用程序突然出现大量的未知访问。

登录服务器失败或者登录过慢。

缩小暴露面，隔离资源和不相关的业务，降低被攻击的风险。

优化业务架构，利用公共云的特性设计弹性伸缩和灾备切换的系统。

服务器安全加固，提升服务器自身的连接数等性能。

选择合适的商业安全方案。阿里云既提供了免费的基础DDoS防护，也提供了商业安全方案。

计算机网络是一个共享环境，需要多方共同维护稳定，部分行为可能会给整体网络和其他租户的网络带来影响，需要您注意：

产品架构 DDoS基础防护 DDoS原生防护 DDoS高防（新BGP&国际） 标准型 增强型 方案简介 基于阿里云原生防护网络，不改变源站服务器IP地址，抵御网络层、传输层DDoS攻击。 通过DNS解析方式牵引流量到阿里云全球DDoS清洗中心，抵御网络层、传输层、应用层DDoS攻击，隐藏被保护的源站服务器。 防护能力 低，基于阿里云上防御能力，500 Mbps~5 Gbps。 详细内容，请参见DDoS基础防护黑洞阈值。 较高，基于阿里云上防御能力，最高可达几百Gbps。 详细内容，请参见什么是DDoS原生防护。 高，基于阿里云全球DDoS清洗中心能力，最高可达Tbps以上。 高，基于阿里云全球DDoS清洗中心能力，最高可达Tbps以上。 防护对象 部分阿里云产品。 包含ECS、SLB、EIP（包含绑定NAT网关的EIP）、IPv6网关、轻量服务器、WAF、GA。 部分阿里云产品。 包含ECS、SLB、EIP（包含绑定NAT网关的EIP）、IPv6网关、轻量服务器、WAF、GA。 部分阿里云产品。目前仅支持DDoS防护增强型EIP。 任意公网IP。 适用场景 购买相应云产品后，默认开启。 IP/端口数量多。 业务带宽大，且不能改变对外IP。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。 需要极低延迟，保障大流量攻击时业务连续性。 偶尔遭受DDoS攻击。 IP/端口数量多。 业务带宽大，且不能改变对外IP。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。 需要较低延迟，保障大流量攻击时业务连续性。 资产需要Tbps级别的DDoS防护能力。 偶尔遭受DDoS攻击。 遭受攻击较多且攻防对抗激烈。 需要防御精细化应用层CC攻击。 需要改变业务对外IP。 说明 免费。 包年包月购买模式，分为中小企业普惠版、企业版。详细信息，请参见原生防护2.0包年包月。 后付费购买模式，详细信息，请参见原生防护2.0后付费。 后付费购买模式，详细信息，请参见原生防护2.0后付费。 版本选择指导： 访问源、源站都在中国内地时，请使用DDoS高防（新BGP）。 访问源、源站都在非中国内地时，请使用DDoS高防（国际）中的保险版或无忧版。 跨境场景（访问源在中国内地，源站在非中国内地），请使用DDoS高防（国际）中的加速线路+保险版/无忧版，或者安全加速线路。

攻击类型 攻击子类 DDoS原生防护 DDoS高防（新BGP&国际） 标准型 增强型 网络层DDoS攻击 主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。 √ √ √ 传输层DDoS攻击 主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。 √ √ √ 应用层DDoS攻击（HTTP/HTTPS） 也称Web类应用层CC攻击，主要包括HTTP/HTTPS CC、HTTP慢速攻击（Loic/Hoic/Slowloris/Pyloris/Xoic）等针对HTTP业务的CC攻击，例如网站、API接口、WebSocket等业务。 × × √ 应用层DDoS攻击（非HTTP/HTTPS的TCP应用层协议） 也称非Web类应用层CC攻击，主要包括TCP CC、TCP空连接、TCP连接资源消耗攻击等针对非HTTP业务的基于TCP应用层的CC攻击，例如私有协议、MySQL、MQTT、RTMP等业务。 × √ 公测中，当前仅支持杭州地域，请通过售前在线咨询联系商务经理申请。 √ 应用层DDoS攻击（基于UDP的应用层协议） UDP-CC、NS服务的DNS-Floood等针对UDP业务的CC攻击，例如NS服务、UDP游戏业务、UDP语音通话等业务。 说明 UDP业务CC防护需要额外购买安全管家，否则不支持。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务，请使用DNS安全。

针对接入后的正常业务流量，DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间，如您刚接入业务就遭受DDoS攻击或CC攻击，首次攻击可能存在瞬时的攻击透传，建议您尽可能的提升源站负载能力，并按照如下建议进行配置：

DDoS原生防护

DDoS高防（新BGP&国际）